使用 HTTP 動作收集稽核記錄

  • 發行項

審核日誌同步流 連線 管理 Office 365 活動 API 參考 ,以收集遙測數據,例如應用程式的唯一使用者和啟動次數。 這些流程會使用 HTTP 動作來存取 API。 在本文中,您將為 HTTP 操作設置應用程式註冊,以及運行流所需的 環境 變數。

注意

卓越中心 (CoE) 初學者工具包在沒有這些流的情況下工作,但控制面板中的 Power BI 使用資訊(如應用程式啟動和唯一使用者)為空。

先決條件

  1. 完成設置 CoE 初學者工具包 之前和 設置庫存元件 文章。
  2. 設置您的 環境
  3. 使用 正確的身份登錄。

提示

僅當您選擇 雲端流 作為清單和遙測機制時,才設置審核日誌流。

再設定稽核記錄流程之前

  1. Microsoft 365 稽核紀錄搜尋必須打開,稽核紀錄連接器才能運作。 有關更多資訊,請參閱 打開或關閉審核日誌搜索。
  2. 您的租用戶必須有支援整合稽核記錄的訂閱。 有關詳細資訊,請參閱 商業和企業計劃的安全與合規中心可用性。
  3. 需要全域管理員來設定 Microsoft Entra 應用程式註冊。

注意

Office 365 管理 API 用 Microsoft Entra ID 來提供驗證服務,您可以用來授予您的應用程式存取權。

建立 Office 365 管理 API 的 Microsoft Entra 應用程式註冊

使用這些步驟,您可以為 Power Automate 流程中的 HTTP 呼叫設定 Microsoft Entra 應用程式註冊,以連線至稽核記錄。 有關更多資訊,請參閱 開始使用 Office 365 管理 API

  1. 登入 Azure 入口網站

  2. 移至 Microsoft Entra ID>應用程式註冊 顯示應用註冊 Azure 服務位置的屏幕截圖。

  3. 選取 + 新增註冊

  4. 輸入名稱,例如 Microsoft 365 Management(管理),但不要更改任何其他設置,然後選擇 Register(註冊)。

  5. 選取 API 權限> + 新增權限 屏幕截圖顯示了 API 許可權功能表的 +Add a permission 按鈕的位置。

  6. 選取 Office 365 管理 API,並設定權限,如下所示:

    1. 選取應用程式權限,然後選取 ActivityFeed.Read 顯示 API 許可權功能表的 Request API permissions (請求 API 許可權) 頁面上的 ActivityFeed.Read 設定的螢幕截圖。

    2. 選取新增權限

  7. 選取(為您的組織)授予管理者同意。 若要設置管理員內容,請參閱 向應用程式授予租戶範圍的管理員同意。

    API 權限現在反映了委派的 ActivityFeed.Read,狀態為授與(您的組織)

  8. 選取憑證和密碼

  9. 選取 + 新增用戶端密碼

  10. 根據您組織的原則新增描述和到期日,然後選取新增

  11. 將應用程式(用戶端)ID 複製並粘貼到文本文檔(如記事本)中。

  12. 選取概觀,並將應用程式 (用戶端) 識別碼和目錄 (租用戶) 識別碼值複製與貼至相同的文字檔。 請務必記住每個 GUID 分別代表的值。 在設定自訂連接器時,您需要這些值。

更新環境變數

環境 變數用於儲存應用程式註冊的用戶端ID和金鑰。 變數還用於存儲 觀眾 和授權服務終端節點,具體取決於 HTTP 操作的雲(商業、GCC、 GCC HighDoD)。 在打開流程之前,請先更新環境變數

您可以將用戶端密鑰以純文字形式存儲在 Audit Logs - Client Secret 環境 變數中 ,不建議這樣做。 相反,我們建議您在 Azure Key Vault 中創建和儲存用戶端密鑰,並在審核日誌 - 用戶端 Azure 金鑰 環境 變數中 引用它。

注意

使用此環境變數的流程設定了一個條件,即要求稽核記錄 - 用戶端密碼稽核記錄 - 用戶端 Azure 密碼環境變數。 但是,您無需編輯流即可使用 Azure Key Vault。

姓名 Description 數值
稽核記錄 - 對象 HTTP 呼叫的 觀眾 參數 商業 (預設): https://manage.office.com

海灣合作委員會: https://manage-gcc.office.com

GCC High: https://manage.office365.us

國防部: https://manage.protection.apps.mil
稽核記錄 - 授權 HTTP 調用中的 authority 字段 商業 (預設): https://login.windows.net

海灣合作委員會: https://login.windows.net

GCC High: https://login.microsoftonline.us

國防部: https://login.microsoftonline.us
稽核記錄 - ClientID 應用註冊 Client ID 應用程式用戶端 ID 來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。
稽核記錄 - 用戶端密碼 純文字形式的應用程式註冊用戶端金鑰(不是金鑰 ID,而是實際值) 應用程式用戶端金鑰來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。 如果您使用 Azure Key Vault 儲存您的用戶端識別碼和密碼,則保留空白。
稽核記錄 - 用戶端 Azure 密碼 應用註冊客戶端密碼的 Azure Key Vault 參考 應用程式客戶端密碼的 Azure Key Vault 參考來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。 如果要將用戶端識別碼以純文字形式儲存在稽核記錄 - 用戶端密碼環境變數中,請保留空白。 此變數需要 Azure Key Vault 參考,而不是密碼。 有關詳細資訊,請參閱 在 環境 變數中使用 Azure Key Vault 機密

開始訂閱以稽核記錄內容

  1. 前往 make.powerapps.com
  2. 選取解決方案
  3. 開啟卓越中心 - 核心元件解決方案。
  4. 打開 Admin |審計日誌 | Office 365 管理 API 訂閱 流程並運行它,輸入 start 作為要運行的操作。 顯示導航欄中 Run (執行) 按鈕的位置以及 Run flow (執行流程) 窗格中的啟動操作的螢幕截圖。
  5. 打開流並驗證啟動訂閱的操作是否已傳遞。

重要

如果您之前啟用了訂閱,則會看到 a(400) The subscription is already enabled 消息。 這意味著訂閱過去已成功啟用。 您可以忽略此消息並繼續設置。 如果您沒有看到上述消息或 (200) 回覆,則請求可能失敗。 您的設置可能存在錯誤,導致 Flow 無法正常工作。 要檢查的一般問題包括:

  • 是否已啟用稽核紀錄,且您是否有查看稽核紀錄的權限? 通過在 Microsoft 合規性管理器 搜索來測試是否啟用了日誌。
  • 您最近是否啟用了審核日誌? 如果是,請在幾分鐘後再試一次,讓稽核記錄有時間啟動。
  • 確認您是否已正確按照 Microsoft Entra 應用程式註冊中的步驟進行。
  • 確認您是否已正確更新這些流程的環境變數。

打開流程

  1. 前往 make.powerapps.com
  2. 選取解決方案
  3. 開啟卓越中心 - 核心元件解決方案。
  4. 打開 Admin |審計日誌 |更新數據 (V2) 流程。 此流程使用上次啟動資訊更新 PowerApps 表,並將元數據添加到審核日誌記錄中。
  5. 打開 Admin |審計日誌 |同步審核日誌 (V2) 流。 此流按小時計劃運行,並將審核日誌事件收集到審核日誌表中。

如何取得更舊的資料

此解決方案在配置後收集應用程式啟動,但未設置為收集歷史應用程式啟動。 Microsoft 365 根據您的許可證,使用 Microsoft Purview 中的審核日誌,歷史數據最多可使用一年。

您可以使用解決方案中的一個流手動將歷史數據載入到 CoE 初學者工具包表中。

注意

檢索審核日誌的使用者需要訪問它們的許可權。 有關更多資訊,請參閱 搜索審核日誌之前。

  1. 瀏覽至稽核記錄搜尋

  2. 在可以使用的日期範圍內,搜尋「已啟動應用程式」活動。 突出顯示日期範圍和啟動的應用活動的屏幕截圖,以便在 Microsoft Purview 的“審核”頁中進行搜索。

  3. 搜索運行后,選擇 Export (導出 ) 以下載結果。

  4. 在核心解決方案中流覽到此流程: Admin |審計日誌 |從導出的審核日誌 CSV 檔載入事件。

  5. 打開流程並運行它,為 Audit Log CSV (審核日誌 CSV ) 參數選擇下載的檔。 顯示 Run flow (執行流程) 窗格的 Audit Log CSV import field (審核日誌 CSV 導入) 欄位和 Run flow (運行流程) 按鈕的螢幕截圖。

    注意

    如果您在選擇 Import (導入) 后沒有看到檔載入,則它可能超過了此 發射鍵 允許的內容大小。 試著將檔案分割成較小的檔案 (每個檔案 50,000 列),並執行每個檔案一次的流程。 流程可以同時執行多個檔案。

  6. 完成後,這些日誌將包含在遙測中。 如果找到最近的啟動項,則會更新應用程式的上次啟動 清單。

疑難排解​​

API 權限

轉到您的應用程式註冊並驗證您是否具有正確的 API 許可權。 您的應用程式註冊需要應用程式許可權,而不是委派。 驗證狀態是否為 Granted (已授予)。

機密 環境 變數 - Azure 機密

如果使用 Azure Key 值來儲存應用程式註冊機密,請驗證 Azure Key Vault 許可權是否正確。 使用者需要具有 Key Vault 機密使用者 角色才能讀取,需要具有 Key Vault 投稿人 角色才能更新。 顯示 Key Vault 投稿人 和 Key Vault 機密使用者角色的螢幕截圖。

如果您在 Azure Key Vault 中遇到有關防火牆、環境 的 Dataverse 靜態 IP 或其他此類功能問題的其他問題,請聯繫產品支援部門來解決。

Secret 環境 Variable - 純文本

如果您使用純文本來儲存應用程式註冊金鑰,請驗證您輸入的是金鑰值本身,而不是金鑰 ID。 Secret 值是一個較長的字串,其字元集比 GUID 大,例如,字串可能包含波形符。

我發現 CoE Starter Kit 存在一個錯誤。 我應該前往何處?

要針對解決方案提交錯誤,請移至 aka.ms/coe-starter-kit-issues